Gouvernance de l'IA : protéger sans brider

Alain Sanchez
Fortinet

Un équilibre existe entre tirer parti de l'IA et exposer inconsidérément l'entreprise.

En quelques années, l'intelligence artificielle est devenue partie intégrante de l’innovation en entreprise. Cette vitesse d’adoption s’accompagne de risques qui, faute d’une gouvernance efficace, peuvent avoir de lourdes conséquences en termes de perte d’information, d’infraction à la réglementation et d’image de marque.

Maitriser l’IA devient donc essentiel, et dans la mise en œuvre de cette nouvelle gouvernance, la cybersécurité et ses responsables ont un rôle clé à jouer. En effet, l’IA se manifeste par des flux, des échanges, des contenus, toutes choses que les RSSI savent détecter, analyser et protéger.

La gouvernance comme facteur de sécurité

Les technologies évoluent plus vite que les lois, et même si les gouvernements ont fait preuve de réactivité avec la directive NIS2 en Europe ou l’AI Act aux Etats-Unis, la traduction de ces recommandations en mesures concrètes reste encore à faire.

En raison de la portée quasi universelle de l’IA, sa gouvernance doit faire appel à des équipes multidisciplinaires, recrutées aussi bien au département juridique, aux ressources humaines et au service des finances, et pas seulement à la direction informatique.

C’est du reste tout l’intérêt d’un projet de gouvernance que de mobiliser toutes les compétences derrière un projet dont dépend l’innovation durable de l’entreprise. Outre de penser les garde-fous de manière plus globale, la rédaction de la gouvernance a le mérite de fédérer, ce qui n’est pas un maigre avantage dans le contexte actuel.

Trois axes, un socle.

L’expérience terrain fait ressortir trois principes :

  1. Clarifier. Répartir par compétence de base et par là responsabiliser les acteurs informatiques, juridiques, financiers permet à la fois une appropriation des avantages de l’IA et une simplification des principes de son utilisation. Ces échanges évitent aussi le cloisonnement.
  2. Respecter les textes légaux. Bien compris, les référentiels tels que l'ISO 42001:2023 et l'AI Act de l’Union Européenne donnent des orientations très utiles sur les processus de l’IA à mettre sous surveillance. Ce cadre permet de dégager les indicateurs qui permettront de démontrer cette conformité au moment des audits.
  3. Impliquer dès le début les parties prenantes. Les dirigeants des services sont des leviers majeurs du projet. Leur implication va accélérer l’acquisition des principes clés de l’IA, permettre à la fois d’en comprendre les limites et d’en déduire les indicateurs de surveillance.

Ainsi les collaborateurs vont pouvoir évaluer les risques de l’IA à la pertinence de leur métier. Ce maillon humain, fort pour le coup, évite de se retrouver pieds et poings liés à une automatisation des décisions purement algorithmique.

Les entreprises les plus matures ont déjà investi dans des programmes qui permettent de mieux comprendre l’impact d’une IA maitrisée tant pour des rôles techniques que non techniques. Là encore, les utilisateurs gagnent en compétence et les équipes travaillent ensemble.

Rôles et Responsabilités

Pour les RSSI, la gouvernance de l'IA est une opportunité naturelle d’étendre encore leurs responsabilités aux domaines de gestion des risques et de conformité.

On retrouve les principaux domaines de responsabilité mais, cette fois, augmentés du respect de la gouvernance :

  • Protection des données : protéger en conformité avec les réglementations et affiner les prérogatives d’accès.
  • Sécurité des modèles : sélectionner les modèles d'IA résilients à la manipulation, au vol ou à la corruption des données.
  • Transparence et contrôle : s'assurer que les décisions de l'IA peuvent être expliquées aux autorités de régulation, aux auditeurs et aux parties prenantes de l'entreprise.
  • Sensibilisation des dirigeants : traduire les risques complexes de l'IA en un langage compréhensible par les membres du conseil d’administration, afin de garantir des décisions durables par les risques qu’elles intègrent.

En s'appropriant ces domaines, les décideurs de la sécurité deviennent les ambassadeurs d’une adoption responsable de l'IA.

La gouvernance de l'IA sur le terrain

Les avantages d'une telle approche sont visibles très vite et à tous les niveaux. Dès la mise en œuvre de la gouvernance, les équipes et les processus se préparent à la conformité, mais cette fois depuis les opérations vers le contrôle, de manière proactive. Ce temps d’avance permet de parler plus simplement aux autorités de régulation, voire de leur proposer des options qui - dans la pratique - évitent l’application du volet pénal lors de changements imposés. Dans ce contexte, les utilisateurs sont d’autant plus enclins à adopter l’IA car celle-ci s’inscrit dans un cadre transparent et sécurisé, garanti par une gouvernance reconnue par toute l’entreprise.

A l’inverse, un recours sauvage à une IA non encadrée par une gouvernance se traduit systématiquement par des fuites de données aux conséquences légales et d’image délétères.

Pour être durable, la gouvernance de l’IA doit être un processus continu, inscrire ses évolutions au quotidien et maintenir mobilisés les chefs de département et les acteurs opérationnels. Pour les RSSI, cela implique une posture d’amélioration continue, une veille réglementaire et surtout un dialogue permanent avec les parties prenantes non techniques. En faisant ainsi de la gouvernance de l’IA un réflexe professionnel, les organisations concilient innovation, sécurité et conformité. Loin de freiner l’innovation, la gouvernance est un moteur de celle-ci, éthique et sécurisé.